<div dir="ltr"><div dir="ltr"><div>Hello,</div><div><br></div><div>I have 2 questions about <font face="monospace, monospace">authorization_signed_response_alg</font> which is defined in "<a href="https://openid.net/specs/openid-financial-api-jarm.html#client-metadata">5. Client Metadata</a>" of "<a href="https://openid.net/specs/openid-financial-api-jarm.html">Financial-grade API: JWT Secured Authorization Response Mode for OAuth 2.0 (JARM)</a>".</div><div><br></div><div>[1]</div><div><br></div><div>If an authorization request is made with <font face="monospace, monospace">response_type=code</font> and without <font face="monospace, monospace">response_mode</font> by a client whose <font face="monospace, monospace">authorization_signed_response_alg</font> is not null (for example if it is <font face="monospace, monospace">RS256</font>), should <font face="monospace, monospace">query.jwt</font> be used as the default value? What I want to know is whether the value of <font face="monospace, monospace">authorization_signed_response_alg</font> should affect the default value in the case of <font face="monospace, monospace">response_mode</font> omission.</div><div><br></div><div>[2]</div><div><br></div><div>If an authorization request is made for FAPI READ+WRITE APIs and if the value of <font face="monospace, monospace">authorization_signed_response_alg</font> of the client is neither <font face="monospace, monospace">PS256</font> or <font face="monospace, monospace">ES256</font>, should the request be rejected as required by "8.6 JWS algorithm considerations" of "<a href="https://bitbucket.org/openid/fapi/src/master/Financial_API_WD_002.md">FAPI Part 2</a>"?</div><div><br></div><div>Best Regards,</div><div>Takahiko Kawasaki</div><div>Authlete, Inc.</div></div></div>